2025年初頭はフィッシング攻撃が100万件超え 3つの著名なPhaaSの機能を解説：セキュリティニュースアラート

Barracuda Networksは2025年1〜2月にかけてPhaaSによるフィッシング攻撃が100万件以上発生し、その複雑さと回避能力が増していると報告した。特に攻撃者が使用している3つの著名なPhaaSの機能を解説しよう。

[後藤大地，有限会社オングス]

　Barracuda Networksは2025年3月19日（現地時間）、2025年1〜2月の2カ月間におけるフィッシング・アズ・ア・サービス（PhaaS）攻撃の動向に関する最新の調査結果を発表した。この期間中、100万件以上のPhaaS攻撃が検知されており、攻撃の規模と巧妙さが急速に拡大している実態が明らかとなった。

Tycoon 2FA、EvilProxy、Sneaky 2FA　PhaaSの主要プラットフォームを解析

　2025年初頭の調査では、特に「Tycoon 2FA」「EvilProxy」「Sneaky 2FA」という3つの主要なPhaaSプラットフォームが検出された。Tycoon 2FAは全体の89％を占め、EvilProxyは8％、Sneaky 2FAは3％関与していたとされている。それぞれ異なるツールセットを備えているが、いずれもさらなる攻撃の実行のためにメッセージサービス「Telegram」を使用するなど、幾つかの共通要素があることが確認されている。

　各PhaaSプラットフォームの主な特徴は以下の通りだ。

• Tycoon 2FA：　極めて高度なフィッシング手法を持ち、検知の回避を目的とした機能を急速に進化させている。特に攻撃に使用されるスクリプトは換字暗号や不可視文字「ハングルフィラー（Unicode 3164）」を利用して暗号化・難読化されている。また、このスクリプトは被害者のWebブラウザの種類を判別して攻撃をカスタマイズし、盗まれた認証情報はTelegramを通じて攻撃者に送信する。さらに窃取した認証情報をリモートサーバに送信する前にAES暗号による暗号化処理も実施されており、セキュリティツールによる検知を困難にしている
• EvilProxy：　技術的知識が少ない攻撃者でも利用可能なPhaaSとされ、「Microsoft 365」や「Google アカウント」など広く使用されるクラウドサービスを標的にしている。攻撃手法は正規のログインページを模倣した偽のWebサイトにユーザーを誘導し、認証情報を窃取する。フィッシングページに使われるソースコードはMicrosoftのログインページのソースコードと酷似しており、悪意のあるサイトと本物の正規サイトを区別することを困難にしている
• Sneaky 2FA：　中間者攻撃（AiTM）に特化した新たなPhaaSとされ、Microsoft 365のアカウント情報を標的にする。他のプラットフォームと同様にTelegramを介してデータを送信するが、標的の選別機能に大きな違いがある。標的と判別された訪問者にのみ攻撃を仕掛け、それ以外は無害な別のサイトにリダイレクトされる

　Barracuda Networksの脅威アナリストチームリーダーであるサラヴァナン・モハンクマール氏は次のように述べている。

　「PhaaSを動かすプラットフォームはますます複雑かつ回避能力が高くなっており、従来のセキュリティツールではフィッシング攻撃を検知することがさらに困難になり、また、被害の大きさもより深刻化している。機械学習を含めたAIを使った検知機能を備えた高度な多層防御戦略を、強固なセキュリティ文化や一貫したセキュリティアクセスおよび認証ポリシーと組み合わせることで、PhaaSベースの攻撃から企業と従業員を保護できる」

　PhaaSの複雑化に伴い、従来のセキュリティ対策だけでは不十分となりつつある。多層的で機械学習を含めたAIを活用したメールセキュリティソリューションの導入や従業員へのセキュリティ教育、FIDO2セキュリティキーといった多要素認証（MFA）の活用などが推奨されている。